Contrôle d'accès basé sur les rôles

Le contrôle d’accès en fonction du rôle (RBAC) vous permet de gérer qui a accès aux ressources de votre organisation et ce qu’ils peuvent faire avec ces ressources. Vous pouvez attribuer des rôles pour vos PC cloud à l’aide du Centre d’administration Microsoft Intune.

Lorsqu’un utilisateur disposant du rôle Propriétaire de l’abonnement ou Administrateur de l’accès utilisateur crée, modifie ou retente un ANC, Windows 365 attribue en toute transparence les rôles intégrés requis les ressources suivantes (si elles ne sont pas déjà affectées) :

  • Abonnement Azure
  • Groupe de ressources
  • Réseau virtuel associé à l’ANC

Si vous avez uniquement le rôle Lecteur d’abonnement, ces affectations ne sont pas automatiques. Au lieu de cela, vous devez configurer manuellement les rôles intégrés requis pour l’application interne Windows dans Azure.

Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle (RBAC) avec Microsoft Intune.

Rôle Administrateur Windows 365

Windows 365 prend en charge le rôle Administrateur Windows 365 disponible pour l’attribution de rôle via le Centre d’administration Microsoft et l’ID Microsoft Entra. Grâce à ce rôle, vous pouvez gérer Windows pc cloud 365 pour les éditions Enterprise et Business. Le rôle Administrateur Windows 365 peut accorder des autorisations plus étendues que d’autres rôles Microsoft Entra comme Administrateur général. Pour plus d’informations, consultez Rôles intégrés Microsoft Entra.

Rôles intégrés des PC cloud

Les rôles intégrés suivants sont disponibles pour pc cloud :

Administrateur de PC en cloud

Gère tous les aspects des PC cloud, comme :

  • La gestion des images de système d’exploitation
  • Configuration de la connexion au réseau Azure
  • Approvisionnement

Lecteur PC en cloud

Affiche les données de PC cloud disponibles dans le nœud Windows 365 dans Microsoft Intune, mais ne peut pas apporter de modifications.

Contributeur d’interface réseau Windows 365

Le rôle Contributeur d’interface réseau Windows 365 est attribué au groupe de ressources associé à la connexion réseau Azure (ANC). Ce rôle permet au service Windows 365 de créer et de rejoindre la carte réseau et de gérer le déploiement dans le groupe de ressources. Ce rôle est une collection des autorisations minimales requises pour utiliser Windows 365 lors de l’utilisation d’un ANC.

Type d’action Autorisations
actions Microsoft.Resources/subscriptions/resourcegroups/read
Microsoft.Resources/deployments/read
Microsoft.Resources/deployments/write
Microsoft.Resources/deployments/delete
Microsoft.Resources/deployments/operations/read
Microsoft.Resources/deployments/operationstatuses/read
Microsoft.Network/locations/operations/read
Microsoft.Network/locations/operationResults/read
Microsoft.Network/locations/usages/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/delete
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action
Microsoft.Network/networkInterfaces/effectiveRouteTable/action
notActions Aucune
dataActions Aucune
notDataActions Aucune

Utilisateur réseau Windows 365

Le rôle Utilisateur réseau Windows 365 est attribué au réseau virtuel associé à l’ANC. Ce rôle permet au service Windows 365 de joindre la carte réseau au réseau virtuel. Ce rôle est une collection des autorisations minimales requises pour utiliser Windows 365 lors de l’utilisation d’un ANC.

Type d’action Autorisations
actions Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/usages/read
Microsoft.Network/virtualNetworks/subnets/join/action
notActions Aucune
dataActions Aucune
notDataActions Aucune

Rôles personnalisés

Vous pouvez créer des rôles personnalisés pour Windows 365 dans le Centre d’administration Microsoft Intune. Pour plus d’informations, voir Créer un rôle personnalisé.

Les autorisations suivantes sont disponibles lors de la création de rôles personnalisés.

Autorisation Description
Données d’audit/lecture Lisez les journaux d’audit des ressources pc cloud dans votre locataire.
Connexions réseau Azure/Créer Créez une connexion locale pour l’approvisionnement de PC cloud. Le rôle Azure propriétaire de l’abonnement ou administrateur de l’accès utilisateur est également requis pour créer une connexion locale.
Connexions réseau Azure/Supprimer Supprimer une connexion locale spécifique. Rappel : Vous ne pouvez pas supprimer une connexion en cours d’utilisation. Le rôle Azure propriétaire de l’abonnement ou administrateur de l’accès utilisateur est également requis pour supprimer une connexion locale.
Connexions réseau Azure/Lecture Lisez les propriétés des connexions locales.
Connexions réseau Azure/Mise à jour Mettez à jour les propriétés d’une connexion locale spécifique. Le rôle Azure propriétaire de l’abonnement ou administrateur de l’accès utilisateur est également requis pour mettre à jour une connexion locale.
Connexions réseau Azure/RunHealthChecks Exécutez des vérifications d’intégrité sur une connexion locale spécifique. Le rôle Azure propriétaire de l’abonnement ou administrateur de l’accès utilisateur est également requis pour exécuter des vérifications d’intégrité.
Connexions réseau Azure/UpdateAdDomainPassword Mettre à jour le mot de passe de domaine Active Directory d’une connexion locale spécifique.
PC cloud/Lecture Lisez les propriétés des PC cloud dans votre locataire.
PC cloud/reprovisionnement Reprovisionner les PC cloud dans votre locataire.
PC cloud/Redimensionnement Redimensionnez les PC cloud dans votre locataire.
PC cloud/EndGracePeriod Fin de la période de grâce pour les PC cloud de votre locataire.
PC cloud/Restauration Restaurez les PC cloud dans votre locataire.
PC cloud/Redémarrage Redémarrez les PC cloud dans votre locataire.
Pc cloud/Renommage Renommez les PC cloud dans votre locataire.
Pc cloud/Résolution des problèmes Résoudre les problèmes liés aux PC cloud dans votre locataire.
Pc cloud/ChangeUserAccountType Modifiez le type de compte d’utilisateur entre l’administrateur local et l’utilisateur standard d’un PC cloud dans votre locataire.
PC cloud/PlaceUnderReview Définissez les PC cloud en cours de révision dans votre locataire.
Pc cloud/RetryPartnerAgentInstallation Tentative de réinstallation des agents partenaires tiers dans un PC cloud qui n’a pas pu être installé.
Pc cloud/ApplyCurrentProvisioningPolicy Appliquez la configuration actuelle de la stratégie d’approvisionnement aux PC cloud de votre locataire.
PC cloud/CreateSnapshot Créez manuellement un instantané pour les PC cloud dans votre locataire.
Images d’appareil/Créer Chargez une image de système d’exploitation personnalisée que vous pourrez provisionner ultérieurement sur des PC cloud.
Images d’appareil/Suppression Supprimer une image de système d’exploitation d’un PC cloud.
Images d’appareil/Lecture Lisez les propriétés des images d’appareil PC cloud.
Paramètres du partenaire externe/lecture Lisez les propriétés d’un paramètre partenaire externe pc cloud.
Paramètres du partenaire externe/Créer Créez un paramètre partenaire externe PC cloud.
Paramètres/Mise à jour du partenaire externe Mettez à jour les propriétés d’un paramètre partenaire externe de PC cloud.
Paramètres de l’organisation/Lecture Lisez les propriétés des paramètres de l’organisation du PC cloud.
Paramètres de l’organisation/Mise à jour Mettez à jour les propriétés des paramètres de l’organisation du PC cloud.
Rapports sur les performances/Lecture Lisez les rapports relatifs aux connexions à distance des PC cloud Windows 365.
Stratégies d’approvisionnement/Affectation Affectez une stratégie d’approvisionnement de PC cloud à des groupes d’utilisateurs.
Stratégies d’approvisionnement/Créer Créez une stratégie d’approvisionnement de PC cloud.
Stratégies d’approvisionnement/Suppression Supprimer une stratégie d’approvisionnement de PC cloud. Vous ne pouvez pas supprimer une stratégie en cours d’utilisation.
Stratégies d’approvisionnement/lecture Lisez les propriétés d’une stratégie d’approvisionnement de PC cloud.
Stratégies d’approvisionnement/Mise à jour Mettez à jour les propriétés d’une stratégie d’approvisionnement de PC cloud.
Rapports/Exportation Exportez les rapports associés à Windows 365.
Attributions de rôles/Créer Créez une attribution de rôle PC cloud.
Attributions de rôles/mise à jour Mettez à jour les propriétés d’une attribution de rôle PC cloud spécifique.
Attributions de rôles/Suppression Supprimer une attribution de rôle PC cloud spécifique.
Rôles/Lecture Affichez les autorisations, les définitions de rôle et les attributions de rôles pour le rôle PC cloud. Afficher l’opération ou l’action qui peut être effectuée sur une ressource (ou une entité DE PC cloud).
Rôles/Créer Créer un rôle pour pc cloud. Les opérations de création peuvent être effectuées sur une ressource de PC cloud (ou une entité).
Rôles/Mise à jour Mettre à jour le rôle pour le PC cloud. Les opérations de mise à jour peuvent être effectuées sur une ressource de PC cloud (ou une entité).
Rôles/Supprimer Supprimer le rôle pour PC cloud. Les opérations de suppression peuvent être effectuées sur une ressource de PC cloud (ou une entité).
Plan de service/Lecture Lisez les plans de service du PC cloud.
SharedUseLicenseUsageReports/Read Lisez les rapports relatifs à l’utilisation partagée des licences d’utilisation de Windows 365 Cloud PC cloud.
SharedUseServicePlans/Read Lisez les propriétés des plans de service d’utilisation partagée de PC cloud.
Instantané/Lecture Lisez l’instantané du PC cloud.
Instantané/Partage Partagez l’instantané du PC cloud.
Région/Lecture prises en charge Lisez les régions prises en charge de CLOUD PC.
Paramètres utilisateur/Affectation Affectez un paramètre utilisateur de PC cloud à des groupes d’utilisateurs.
Paramètres utilisateur/Créer Créez un paramètre utilisateur pc cloud.
Paramètres utilisateur/Supprimer Supprimer un paramètre utilisateur d’un PC cloud.
Paramètres utilisateur/Lecture Lisez les propriétés d’un paramètre utilisateur d’un PC cloud.
Paramètres utilisateur/Mise à jour Mettez à jour les propriétés d’un paramètre utilisateur d’un PC cloud.

Pour créer une stratégie d’approvisionnement, un administrateur a besoin des autorisations suivantes :

  • Stratégies d’approvisionnement/lecture
  • Stratégies d’approvisionnement/Créer
  • Connexions réseau Azure/Lecture
  • Région/Lecture prises en charge
  • Images d’appareil/Lecture

Migration d’autorisations existantes

Pour les ANC créés avant le 26 novembre 2023, le rôle Contributeur de réseau est utilisé pour appliquer des autorisations sur le groupe de ressources et le réseau virtuel. Pour appliquer aux nouveaux rôles RBAC, vous pouvez réessayer le contrôle d’intégrité ANC. Les rôles existants doivent être supprimés manuellement.

Pour supprimer manuellement les rôles existants et ajouter les nouveaux rôles, reportez-vous au tableau suivant pour connaître les rôles existants utilisés sur chaque ressource Azure. Avant de supprimer les rôles existants, assurez-vous que les rôles mis à jour sont attribués.

Ressource Azure Rôle existant (avant le 26 novembre 2023) Rôle mis à jour (après le 26 novembre 2023)
Groupe de ressources Contributeur réseau Contributeur d’interface réseau Windows 365
Réseau virtuel Contributeur réseau Utilisateur réseau Windows 365
Abonnement Lecteur Lecteur

Pour plus d’informations sur la suppression d’une attribution de rôle d’une ressource Azure, consultez Supprimer les attributions de rôles Azure.

Balises d'étendue

La prise en charge de Windows 365 pour les balises d’étendue est en préversion publique.

Pour RBAC, les rôles ne font qu’une partie de l’équation. Bien que les rôles fonctionnent bien pour définir un ensemble d’autorisations, les balises d’étendue permettent de définir la visibilité des ressources de votre organisation. Les balises d’étendue sont les plus utiles lors de l’organisation de votre locataire pour que les utilisateurs soient limités à certaines hiérarchies, régions géographiques, unités commerciales, etc.

Utilisez Intune pour créer et gérer des balises d’étendue. Pour plus d’informations sur la façon dont les balises d’étendue sont créées et gérées, consultez Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.

Dans Windows 365, les balises d’étendue peuvent être appliquées aux ressources suivantes :

  • Stratégies de configuration
  • Connexions réseau Azure (ANC)
  • PC cloud
  • Images personnalisées
  • Attributions de rôles RBAC Windows 365

Pour vous assurer que la liste Tous les appareils appartenant à Intune et la liste Tous les PC cloud appartenant à Windows 365 affichent les mêmes PC cloud en fonction de l’étendue, procédez comme suit après avoir créé vos étiquettes d’étendue et votre stratégie d’approvisionnement :

  1. Créez un groupe d’appareils dynamique d’ID Microsoft Entra avec la règle selon laquelle enrollmentProfileName est égal au nom exact de la stratégie d’approvisionnement créée.
  2. Affectez la balise d’étendue créée au groupe d’appareils dynamique.
  3. Une fois le PC cloud approvisionné et inscrit dans Intune, la liste Tous les appareils et la liste Tous les PC cloud doivent afficher les mêmes PC cloud.

Pour permettre aux administrateurs délimités d’afficher les balises d’étendue qui leur sont affectées et les objets dans leur étendue, l’un des rôles suivants doit leur être attribué :

  • Intune en lecture seule
  • Lecteur/administrateur de PC cloud
  • Rôle personnalisé avec des autorisations similaires.

Actions en bloc de l’API Graph et balises d’étendue pendant la préversion publique

Pendant la durée de la préversion publique des balises d’étendue, les actions en bloc suivantes ne respectent pas les balises d’étendue lorsqu’elles sont appelées directement à partir de l’API Graph :

  • Restaurer
  • Réapprovisionner
  • Passer en revue le PC cloud
  • Supprimer le PC cloud en cours d’examen
  • Partager le point de restauration d’un PC cloud dans le stockage
  • Créer un point de restauration manuelle d’un PC cloud

Étapes suivantes

Contrôle d’accès en fonction du rôle (RBAC) avec Microsoft Intune.

Comprendre les définitions de rôle Azure

Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?